模糊测试利器Wfuzz快速上手使用

暗月博客 2021年1月21日03:26:01评论239 views字数 1062阅读3分32秒阅读模式
摘要

Wfuzzfuzz 刚刚玩靶机的时候发现作者提示用wfuzz进行测试,于是就有了这篇文章

Wfuzzfuzz

前言

刚刚玩靶机的时候发现作者提示用wfuzz进行测试,于是就有了这篇文章

介绍

wfuzz 是⼀款Python开发的Web安全模糊测试⼯具。这工具kali已经自带了 项目地址https://github.com/xmendez/wfuzz

简单使用

爆破目录(可以加-R递归爆破)

wfuzz -c -w wordlist.txt http://192.168.0.115/FUZZ 

-c:是否选择带颜色输出
-w: 指定字典
FUZZ为占位符,会直接从字典里面加载进行测试
爆破文件

wfuzz -c -w wordlist.txt http://192.168.0.115/FUZZ.php 

爆破网站登录密码

单个字典,只测试username

wfuzz -w userList.txt -d "username=FUZZ&password=123456" http://127.0.0.1/login.php 

-d:需要发送的请求内容

多个字典爆破

wfuzz -w userList.txt -w pwdList.txt -d "username=FUZZ&password=FUZ2Z" http://127.0.0.1/login.php 

FUZ2Z为加载的第二个字典,FUZ3Z为第三个以此类推

测试请求头

wfuzz -z range,0000-9999 -H "X-Forwarded-For: FUZZ" http://127.0.0.1/get.php?userid=666 

-z:很灵活常用的有list,file,range

设置代理

wfuzz -w wordlist -p 127.0.0.1:1087:SOCKS5 http://127.0.0.1/FUZZ 

测试HTTP Basic Auth

wfuzz -z list,"username-password" --basic FUZZ:FUZZ http://127.0.0.1 

指定并发线程

wfuzz -c -t 20 -w wordlist.txt http://192.168.0.115/FUZZ 

-t:20个,默认10
也可以使用-s参数可以调节每次发送HTTP的时间间隔

保存测试结果

wfuzz -f outfile,json -w wordlist http://192.168.0.115/FUZZ 

来源:http://www.safe6.cn/

本文由 safe6 创作,著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

模糊测试利器Wfuzz快速上手使用

本站的所有程序和文章,仅限用于学习和研究目的;不得用于商业或者非法用途,否则,一切后果请用户自负!! 最后编辑时间为: 2019-09-16

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
暗月博客
  • 本文由 发表于 2021年1月21日03:26:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   模糊测试利器Wfuzz快速上手使用https://cn-sec.com/archives/247559.html

发表评论

匿名网友 填写信息